소프트웨어 설치 · 6 min read · Oct 10, 2025

우분투 22.04에 Arkime Moloch 패킷 캡처 도구 설치하는 방법

Arkime은 네트워크 트래픽을 PCAP 형식으로 저장하고 인덱싱하는 무료 오픈 소스 대규모 인덱스 패킷 캡처 및 검색 도구입니다. Moloch로도 알려져 있으며, 여러 클러스터 시스템에 배포되도록 설계되어 여러 기가비트의 트래픽을 처리할 수 있는 확장성을 제공합니다. Arkime에는 PCAP을 탐색, 검색 및 내보내는 데 도움이 되는 내장 관리 인터페이스가 있습니다. 다른 PCAP 수집 도구를 사용하여 워크플로를 분석할 수 있습니다.

이 튜토리얼에서는 우분투 22.04에 Arkime 패킷 캡처 도구를 설치하는 방법을 보여줍니다.

필수 조건

  • 우분투 22.04를 실행하는 서버.
  • 서버에 루트 비밀번호가 설정되어 있어야 합니다.

시작하기

시작하기 전에 시스템 패키지를 최신 버전으로 업데이트해야 합니다. 다음 명령어로 업데이트할 수 있습니다:

apt-get update -y

모든 패키지가 업데이트되면 다음 명령어를 사용하여 필요한 종속성을 설치합니다:

apt-get install gnupg2 curl wget -y

다음으로, 시스템에 Libssl 및 Libffi 라이브러리를 설치해야 합니다. 다음 명령어를 실행하여 두 라이브러리를 다운로드하고 설치할 수 있습니다:

wget http://es.archive.ubuntu.com/ubuntu/pool/main/libf/libffi/libffi7_3.3-4_amd64.deb  
wget http://archive.ubuntu.com/ubuntu/pool/main/o/openssl/libssl1.1_1.1.1f-1ubuntu2_amd64.deb  
dpkg -i libffi7_3.3-4_amd64.deb  
dpkg -i libssl1.1_1.1.1f-1ubuntu2_amd64.deb  
ln -s /usr/lib/x86_64-linux-gnu/libssl.so.1.1 /usr/local/lib/  
ln -s /usr/lib/x86_64-linux-gnu/libffi.so.7 /usr/local/lib/

모든 패키지가 설치되면 다음 단계로 진행할 수 있습니다.

Elasticsearch 설치

Arkime는 인덱싱 및 검색을 위해 Elasticsearch를 사용합니다. 따라서 시스템에 Elasticsearch가 설치되어 있어야 합니다. 기본적으로 최신 버전의 Elasticsearch는 우분투 기본 저장소에 포함되어 있지 않습니다. 따라서 Elasticsearch 저장소를 시스템에 추가해야 합니다.

먼저, 다음 명령어로 GPG 키를 추가합니다:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch --no-check-certificate | apt-key add -

다음으로, 다음 명령어로 APT에 Elasticsearch 저장소를 추가합니다:

echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-7.x.list

다음으로, 저장소를 업데이트하고 다음 명령어로 Elasticsearch 패키지를 설치합니다:

apt-get update -y  
apt-get install elasticsearch -y

Elasticsearch가 설치되면 Elasticsearch 구성 파일을 편집하고 Java 메모리를 설정합니다:

nano /etc/elasticsearch/jvm.options

다음 줄을 변경합니다:

-Xms500m
-Xmx500m

파일을 저장하고 닫은 후, 다음 명령어로 시스템 재부팅 시 Elasticsearch 서비스가 시작되도록 활성화합니다:

systemctl enable --now elasticsearch

기본적으로 Elasticsearch는 포트 9200에서 수신 대기합니다. 다음 명령어로 확인할 수 있습니다:

ss -antpl | grep 9200

다음과 같은 출력을 얻어야 합니다:

LISTEN 0      4096   [::ffff:127.0.0.1]:9200            *:*    users:(("java",pid=30581,fd=291))                                                                                                                                                                                                                                                                                
LISTEN 0      4096                [::1]:9200         [::]:*    users:(("java",pid=30581,fd=290))

다음 명령어로 Elasticsearch를 확인할 수도 있습니다:

curl http://localhost:9200

다음과 같은 출력을 얻어야 합니다:

{
  "name" : "ubuntu2204",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "6QiUfVa4Q9G8lxHjuVLjUQ",
  "version" : {
    "number" : "7.17.5",
    "build_flavor" : "default",
    "build_type" : "deb",
    "build_hash" : "8d61b4f7ddf931f219e3745f295ed2bbc50c8e84",
    "build_date" : "2022-06-23T21:57:28.736740635Z",
    "build_snapshot" : false,
    "lucene_version" : "8.11.1",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "검색을 위한 것입니다"
}

이 시점에서 Elasticsearch가 설치되고 실행 중입니다. 이제 다음 단계로 진행할 수 있습니다.

Arkime 설치 및 구성

먼저, 다음 명령어로 Arkime의 최신 버전을 다운로드합니다:

wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-20.04/arkime_3.4.2-1_amd64.deb

패키지가 다운로드되면 다음 명령어로 다운로드한 패키지를 설치합니다:

apt install ./arkime_3.4.2-1_amd64.deb

Arkime가 설치되면 다음 명령어로 구성합니다:

/opt/arkime/bin/Configure

다음과 같이 네트워크 인터페이스를 지정하라는 메시지가 표시됩니다:

Found interfaces: lo;eth0;eth1
Semicolon ';' seperated list of interfaces to monitor [eth1] eth0

네트워크 인터페이스 이름을 입력하고 Enter 키를 눌러 계속 진행합니다. 구성이 완료되면 다음과 같은 출력을 얻어야 합니다:

Install Elasticsearch server locally for demo, must have at least 3G of memory, NOT recommended for production use (yes or no) [no] no
Elasticsearch server URL [http://localhost:9200] 
Password to encrypt S2S and other things, don't use spaces [no-default] password
Arkime - Creating configuration files
Installing systemd start files, use systemctl
Arkime - Installing /etc/logrotate.d/arkime to rotate files after 7 days
Arkime - Installing /etc/security/limits.d/99-arkime.conf to make core and memlock unlimited
Download GEO files? You'll need a MaxMind account https://arkime.com/faq#maxmind (yes or no) [yes] no
Arkime - NOT downloading GEO files

Arkime - Configured - Now continue with step 4 in /opt/arkime/README.txt

 4) The Configure script can install elasticsearch for you or you can install yourself
      systemctl start elasticsearch.service
 5) Initialize/Upgrade Elasticsearch Arkime configuration
  a) If this is the first install, or want to delete all data
      /opt/arkime/db/db.pl http://ESHOST:9200 init
  b) If this is an update to a moloch/arkime package
      /opt/arkime/db/db.pl http://ESHOST:9200 upgrade
 6) Add an admin user if a new install or after an init
      /opt/arkime/bin/arkime_add_user.sh admin "Admin User" THEPASSWORD --admin
 7) Start everything
      systemctl start arkimecapture.service
      systemctl start arkimeviewer.service
 8) Look at log files for errors
      /opt/arkime/logs/viewer.log
      /opt/arkime/logs/capture.log
 9) Visit http://arkimeHOST:8005 with your favorite browser.
      user: admin
      password: THEPASSWORD from step #6

If you want IP -> Geo/ASN to work, you need to setup a maxmind account and the geoipupdate program.
See https://arkime.com/faq#maxmind

Any configuration changes can be made to /opt/arkime/etc/config.ini
See https://arkime.com/faq#moloch-is-not-working for issues

Additional information can be found at:
  * https://arkime.com/faq
  * https://arkime.com/settings

작업이 완료되면 다음 단계로 진행할 수 있습니다.

Elasticsearch Arkime 구성 초기화

다음으로, Elasticsearch Arkime 구성을 초기화해야 합니다. 다음 명령어로 수행할 수 있습니다:

/opt/arkime/db/db.pl http://localhost:9200 init

다음으로, 다음 명령어로 Arkime의 관리자 사용자 계정을 생성합니다:

/opt/arkime/bin/arkime_add_user.sh admin "Moloch SuperAdmin" password --admin

다음으로, 다음 명령어로 Geo 데이터베이스를 업데이트합니다:

/opt/arkime/bin/arkime_update_geo.sh

작업이 완료되면 다음 단계로 진행할 수 있습니다.

Arkime 서비스 시작 및 관리

Arkime는 캡처, 뷰어 및 Elasticsearch의 세 가지 구성 요소로 구성됩니다. 따라서 각 구성 요소의 서비스를 시작해야 합니다.

다음 명령어로 Arkimecapture 및 Arkimeviewer 서비스를 시작하고 시스템 재부팅 시 시작되도록 활성화할 수 있습니다:

systemctl enable --now arkimecapture  
systemctl enable --now arkimeviewer

다음 명령어로 두 서비스의 상태를 확인할 수 있습니다:

systemctl status arkimecapture arkimeviewer

다음과 같은 출력을 얻어야 합니다:

? arkimecapture.service - Arkime Capture
     Loaded: loaded (/etc/systemd/system/arkimecapture.service; enabled; vendor preset: enabled)
     Active: active (running) since Mon 2022-08-15 03:55:10 UTC; 1min 0s ago
    Process: 33704 ExecStartPre=/opt/arkime/bin/arkime_config_interfaces.sh -c /opt/arkime/etc/config.ini -n default (code=exited, status=0/S>
   Main PID: 33724 (sh)
      Tasks: 7 (limit: 2242)
     Memory: 213.2M
        CPU: 806ms
     CGroup: /system.slice/arkimecapture.service
             ??33724 /bin/sh -c "/opt/arkime/bin/capture -c /opt/arkime/etc/config.ini  >> /opt/arkime/logs/capture.log 2>&1"
             ??33725 /opt/arkime/bin/capture -c /opt/arkime/etc/config.ini

Aug 15 03:55:09 ubuntu2204 systemd[1]: Starting Arkime Capture...
Aug 15 03:55:10 ubuntu2204 systemd[1]: Started Arkime Capture.

? arkimeviewer.service - Arkime Viewer
     Loaded: loaded (/etc/systemd/system/arkimeviewer.service; enabled; vendor preset: enabled)
     Active: active (running) since Mon 2022-08-15 03:08:39 UTC; 47min ago
   Main PID: 31759 (sh)
      Tasks: 12 (limit: 2242)
     Memory: 56.7M
        CPU: 2.127s
     CGroup: /system.slice/arkimeviewer.service
             ??31759 /bin/sh -c "/opt/arkime/bin/node viewer.js -c /opt/arkime/etc/config.ini  >> /opt/arkime/logs/viewer.log 2>&1"
             ??31760 /opt/arkime/bin/node viewer.js -c /opt/arkime/etc/config.ini

Aug 15 03:08:39 ubuntu2204 systemd[1]: Started Arkime Viewer.

다음 명령어로 뷰어 로그를 확인할 수 있습니다:

tail -f /opt/arkime/logs/viewer.log

다음 명령어로 캡처 로그를 확인할 수 있습니다:

tail -f /opt/arkime/logs/capture.log

다음과 같은 출력을 보게 될 것입니다:

Aug 15 03:57:20 http.c:389 moloch_http_curlm_check_multi_info(): 2/3 ASYNC 201 http://localhost:9200/arkime_dstats/_doc/ubuntu2204-1408-5 804/159 0ms 20ms
Aug 15 03:57:20 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/arkime_stats/_doc/ubuntu2204?version_type=external&version=66 798/157 0ms 24ms
Aug 15 03:57:22 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/_bulk 715/221 0ms 10ms
Aug 15 03:57:22 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/arkime_stats/_doc/ubuntu2204?version_type=external&version=67 805/158 0ms 12ms
Aug 15 03:57:24 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/_bulk 1471/253 0ms 24ms
Aug 15 03:57:24 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 200 http://localhost:9200/arkime_stats/_doc/ubuntu2204?version_type=external&version=68 806/157 0ms 18ms
Aug 15 03:57:25 http.c:389 moloch_http_curlm_check_multi_info(): 1/3 ASYNC 201 http://localhost:9200/arkime_dstats/_doc/ubuntu2204-1409-5 808/159 0ms 10ms

Arkime 웹 인터페이스에 접근하기

이 시점에서 Arkime가 시작되고 포트 8005에서 수신 대기하고 있습니다. 다음 명령어로 확인할 수 있습니다:

ss -antpl | grep 8005

다음과 같은 출력을 얻어야 합니다:

LISTEN   0        511                          *:8005                  *:*       users:(("node",pid=11362,fd=20))

이제 웹 브라우저를 열고 URL http://your-server-ip:8005를 사용하여 Arkime 웹 인터페이스에 접근합니다. 다음과 같이 관리자 사용자 이름과 비밀번호를 입력하라는 메시지가 표시됩니다:

관리자 사용자 이름과 비밀번호를 입력하고 로그인 버튼을 클릭합니다. 다음 페이지에서 Arkime 대시보드를 볼 수 있어야 합니다:

결론

축하합니다! 우분투 22.04 서버에 Arkime 패킷 캡처 도구를 성공적으로 설치하고 구성했습니다. 이제 Arkime를 탐색하여 더 많은 기능을 사용하고 패킷 캡처를 시작할 수 있습니다. 질문이 있으면 언제든지 문의해 주세요.

Share: X/Twitter LinkedIn
#소프트웨어 설치

새 게시물을 받은 편지함에서 받기

스팸은 없습니다. 언제든지 구독 해지 가능합니다.